IC 分數總覽
Google Security Operations 中的 Applied Threat Intelligence (ATI) 會評估入侵指標 (IoC),並指派指標信賴分數 (IC 分數)。IC 分數會彙整 100 多個開放原始碼和 Mandiant 專屬情報來源的資訊,並以單一評分表示。系統會根據機器學習技術,為每個情報來源指派信賴度,信賴度取決於情報來源提供的情報品質,而情報品質則由人工評估和大規模資料驅動方法決定 (請參閱 IC 分數來源說明)。
IC 分數會擷取特定指標與惡意活動 (真陽性) 相關聯的機率。為計算惡意程度的最終機率,機器學習模型會納入指標的所有可用資訊,並根據每個資訊來源的學習信賴度加權。
由於只有惡意或良性兩種可能結果,因此在沒有任何資訊的情況下,所有指標一開始的惡意或良性機率都是 50%。每增加一項資訊,基線分數就會朝向 0% 惡意機率 (已知良性) 或 100% 惡意機率 (已知惡意) 調整。
Google SecOps 會擷取 ATI 提供的 IOC,且 IC 分數大於 80。
下表說明可能的 IC 分數範圍。
| 分數 | 解釋 |
|---|---|
| <= 40% | 已知良性或雜訊 |
| 大於 40% 且小於 60% | 不確定/不明 |
| >= 60% 且 < 80% | 可疑 |
| >= 80% | 已知的惡意程式 |
指標老化資訊
IC 分數系統會在下列評分事件中納入新資訊、重新整理擴充資料,並刪除舊資訊:
在其中一個 OSINT 來源或 Mandiant 專屬監控系統中,發現新的指標
每個來源和補充資訊的指標專屬逾時時間
系統會根據相關來源或擴充功能中指標的上次顯示日期,決定逾時期限。如果相關來源上次觀察到指標的時間已超過指定天數,或是資訊已由擴充服務更新,違規分析就會將資訊視為過時,並停止將其視為計算分數的有效因素。
下表說明與指標相關的重要時間戳記屬性。
| 屬性 | 說明 |
|---|---|
| 首次出現時間 | 首次從特定來源觀察到指標的時間戳記。 |
| 上次出現時間 | 最近一次從特定來源觀察到指標的時間戳記。 |
| 上次更新時間 | 指標的 IC 分數或其他中繼資料最近一次更新的時間戳記,更新原因可能是指標老化、新觀察結果或其他管理程序。 |
IC 分數來源說明
IC 分數說明工具會顯示指標獲得該分數的原因,以及系統的哪些類別提供指標的信賴度評估。ATI 會評估各種專有和第三方來源,藉此計算 IC 分數。每個來源類別和特定來源都會顯示傳回的惡意或良性判定回應摘要計數,以及來源的資料品質評估結果。系統會合併這些結果,以判斷 IC 分數。
下表詳細說明瞭來源類別。
| 來源 | 說明 |
|---|---|
| 殭屍網路監控 | 「殭屍網路監控」類別包含專有系統的惡意判決,這些系統會監控即時殭屍網路流量、設定,以及指令與控制 (C2),判斷是否有殭屍網路感染跡象。 |
| 防彈主機(Bulletproof Hosting) | 「防彈主機」類別包含的來源會監控防彈主機基礎架構和服務的註冊和使用情況,這類基礎架構和服務通常會為非法活動提供服務,且不受補救或下架措施影響。 |
| 群眾外包威脅分析 | 群眾外包威脅分析會彙整各種威脅分析服務和供應商的惡意判定結果,每個回應服務都會視為這個類別中的獨立回應,並有自己的關聯信心度。 |
| FQDN 分析 | 「FQDN 分析」類別包含多個系統對網域進行分析後得出的惡意或良性判定結果,包括檢查網域的 IP 解析、註冊情形,以及網域是否疑似為錯別字搶註。 |
| GreyNoise Context | GreyNoise Context 來源會根據從 [GreyNoise Context 服務](https://docs.greynoise.io/reference/noisecontextip-1) 取得的資料,提供惡意或良性判定結果。這項服務會檢查 IP 位址的脈絡資訊,包括擁有權資訊,以及 GreyNoise 基礎架構觀察到的任何良性或惡意活動。 |
| GreyNoise RIOT | GreyNoise RIOT 來源會根據 [GreyNoise RIOT 服務](https://docs.greynoise.io/reference/riotip) 指派良性判定,該服務會根據基礎架構和服務的觀察結果和中繼資料,找出造成常見誤判的已知良性服務。這項服務會提供良性指定項目的兩種信賴度,我們會將這兩種信賴度納入評分中,做為個別的加權因素。 |
| 知識圖譜 | Mandiant 知識圖表包含 Mandiant 對指標的智慧評估,這些指標是從網路入侵和其他威脅資料的分析結果衍生而來。這個來源會為指標分數提供良性和惡意判定。 |
| 惡意軟體分析 | 「惡意軟體分析」類別包含多個專屬靜態和動態惡意軟體分析系統的判斷結果,包括 Mandiant 的 MalwareGuard 機器學習模型。 |
| MISP:動態雲端代管 (DCH) 服務供應商 | MISP:動態雲端代管 (DCH) 供應商會根據多個 MISP 清單提供良性判定,這些清單定義與雲端代管供應商相關聯的網路基礎架構,例如 Google Cloud 和 Amazon AWS。與 DCH 供應商相關聯的基礎架構可供多個實體重複使用,因此較難採取行動。 |
| MISP:教育機構 | MISP:教育機構類別會根據全球大學網域的 MISP 清單,提供良性判定結果。如果指標出現在這份清單中,表示該指標與大學有正當關聯,建議將其視為良性。 |
| MISP:Internet Sinkhole | 「MISP:網際網路 Sinkhole」類別會根據已知 Sinkhole 基礎架構的 MISP 清單,提供良性判定。由於沉洞是用來觀察及遏止先前的惡意基礎架構,因此出現在已知沉洞清單中會降低指標分數。 |
| MISP:已知 VPN 主機供應商 | MISP:已知 VPN 主機供應商類別會根據多個 MISP 清單 (包括 vpn-ipv4 和 vpn-ipv6 清單),識別已知 VPN 基礎架構,並提供良性判決。由於與這些 VPN 服務相關聯的使用者眾多,因此系統會將 VPN 基礎架構指標判定為良性。 |
| MISP:其他 | MISP:其他類別是預設類別,適用於新加入的 MISP 清單,或不適合歸入更具體類別的其他一次性清單。 |
| MISP:熱門網際網路基礎架構 | 「MISP:熱門網際網路基礎架構」類別會根據熱門網路服務、電子郵件服務和 CDN 服務的 MISP 清單,提供良性判定。這些清單中的指標與常見的網路基礎架構相關聯,應視為良性。 |
| MISP:熱門網站 | 「MISP:熱門網站」類別會根據網域在多個網域熱門清單 (包括 Majestic 1 Million、Cisco Umbrella 和 Tranco) 中的熱門程度,提供良性判斷結果。出現在多個熱門清單中,可提高網域為良性的信賴度。 |
| MISP:可信任的軟體 | 「MISP:受信任的軟體」類別會根據 MISP 檔案雜湊清單提供良性判斷結果,這些檔案雜湊已知為正當,或會在威脅情報動態消息中造成誤判。來源包括 nioc-filehash 和 common-ioc-false-positives 等 MISP 清單。 |
| 垃圾內容監控 | 垃圾內容監控功能包含專屬來源,可收集及監控與已識別垃圾內容和網路釣魚活動相關的指標。 |
| Tor | Tor 來源會根據多個來源指派良性判定,這些來源會識別 Tor 基礎架構和 Tor 結束節點。由於與 Tor 節點相關聯的使用者人數眾多,因此 Tor 節點指標會獲得良性判定。 |
| 網址分析 | 「網址分析」類別包含多個系統對網址內容和代管檔案進行分析後,得出的惡意或良性判決 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。